Op 6 oktober 2015 heeft het Europees Hof van Justitie het Besluit 2000/520 van de Commissie met betrekking tot de Amerikaanse Safe Harbor ongeldig verklaard. Deze uitspraak heeft gevolgen voor alle organisaties die voor de trans-Atlantische doorgifte van persoonsgegevens afhankelijk zijn van de Safe Harbor om te voldoen aan de Europese wetgeving inzake gegevensbescherming. Als u, of een van uw leveranciers, inderdaad uitsluitend op basis van de Safe Harbor persoonsgegevens naar de Verenigde Staten doorgeeft, handelt u in strijd met het Handvest van Grondrechten van de Europese Unie.
Het Hof neemt dit besluit op verzoek van Facebook-gebruiker Max Schrems die beoogt het Amerikaanse Safe Harbor-kader aan de kaak te stellen in de nasleep van de onthullingen door Snowden. Het Hof vond dat de Amerikaanse Safe Harbor het grondrecht op eerbiediging van het privéleven aantast, omdat de Amerikaanse autoriteiten niet hoeven te voldoen aan de Amerikaanse Safe Harbor en algehele toegang hebben tot de inhoud van elektronische communicatie. Verder klaagt het Hof dat de Amerikaanse Safe Harbor mogelijkerwijs geen voorrang heeft in geval van een conflict met de Amerikaanse wet. Het Hof benadrukt specifiek dat de Amerikaanse Safe Harbor personen geen effectieve rechtsbescherming biedt, wat tevens het grondrecht op effectieve rechtsbescherming aantast.
De reactie van de Europese Commissie op de nieuwe ontwikkelingen
In een persconferentie later die dag wees EU-commissaris Frans Timmermans erop dat trans-Atlantische gegevensoverdrachten nog steeds mogelijk zijn door gebruik van alternatieve instrumenten die de Europese wetgeving beschikbaar stelt, inclusief de Europese modelcontracten en binding corporate rules. Met betrekking tot de tenuitvoerlegging kondigde Timmermans aan dat de Commissie nationale toezichthoudende instanties ‘duidelijke richtlijnen’ zal bieden voor de omgang met verzoeken tot gegevensoverdrachten naar de Verenigde Staten in het licht van dit arrest. De Commissie kan de nationale toezichthouders echter niet dwingen om een bepaalde aanpak te volgen, zoals dit arrest zo duidelijk illustreert (zie hieronder).
Lees hier het transcript van de korte verklaring van EU-commissaris Frans Timmermans of bekijk hier de volledige opname van de persconferentie van de Europese Commissie op 6 oktober 2015.
De reactie van de toezichthoudende instanties
De nationale toezichthoudende instanties, samengebracht in de Artikel 29 Werkgroep, komen deze week bijeen om hun aanpak te coördineren. Een persbericht van de Artikel 29 Werkgroep vindt u hier.
Wat wij uw organisatie adviseren te doen
Deze zaak vereist uw onmiddellijke aandacht als uw organisatie, of een van uw leveranciers, persoonsgegevens doorgeeft aan de Verenigde Staten. In dat geval adviseren wij u na te gaan of een trans-Atlantische verwerking van persoonsgegevens binnen uw organisatie uitsluitend gebaseerd is op de Amerikaanse Safe Harbor om te voldoen aan de Europese wetgeving inzake gegevensbescherming. Indien dat het geval is, moeten er alternatieve regelingen worden getroffen om mogelijke onderzoeken en/of handhavingsmaatregelen door regelgevers te voorkomen. Hoewel de Europese Commissie en de nationale toezichthoudende instanties op dit moment in overleg zijn om tot een gemeenschappelijke aanpak te komen, kunnen onderzoeken en/of handhavingsmaatregelen niet worden uitgesloten.
We kunnen u een ready-to-go-actieplan bieden om ervoor te zorgen dat u zo snel mogelijk voldoet aan de Europese wetgeving inzake gegevensbescherming.
Wat u in elk geval moet weten als u persoonsgegevens doorgeeft aan landen buiten de Europese Unie
Dit arrest kan ook gevolgen hebben voor organisaties die persoonsgegevens doorgeven aan landen buiten de EU in algemene zin. Het Hof oordeelde in deze zaak namelijk ook dat nationale toezichthoudende instanties bevoegd zijn om te onderzoeken of een internationale gegevensoverdracht voldoet aan de Europese wetgeving inzake gegevensbescherming, zelfs als de Commissie een Besluit heeft aangenomen waarin wordt verklaard dat het betreffende derde land een passend beschermingsniveau biedt. Toezichthouders hebben zelfs de plicht om dergelijke beweringen met alle nodige voortvarendheid te onderzoeken. Dit betekent dat ieder besluit van de Commissie, waarin wordt beweerd dat een derde land een passend beschermingsniveau biedt, kan worden aangevochten. Alleen het Europees Hof van Justitie kan echter besluiten van de Commissie ongeldig verklaren en het lang kan duren voordat dergelijke gerechtelijke procedures voltooid zijn.